Az OpenVPN protokoll a gyenge pont
A sérülékenység központi eleme, hogy az alkalmazás háttérsegédje szinte egyáltalán nem ellenőrzi, ki ad neki utasítást – a helyzetet a biztonságkutatók ahhoz hasonlítják, mintha egy portás sosem kérne igazolványt. Bármely külső alkalmazás vagy program képes a segédnek utasításokat küldeni; a sérülékeny mechanizmus lényege, hogy a segéd nem ellenőrzi megfelelően, megbízható forrásból származik-e a kérés, így rosszindulatú szoftverek is kihasználhatják, hogy teljes irányítást szerezzenek a számítógép felett.
Két fő kihasználási lehetőséget azonosítottak. Egyrészt egyszerűen el lehet érni, hogy az OpenVPNPath paraméter egy ártalmas programot indítson el az OpenVPN helyett. Másrészt még súlyosabb, hogy a hiba át tudja törni az Apple beépített biztonsági korlátait is: a segéd csak akkor ellenőrzi a fájl biztonsági aláírását, ha az már végrehajtható fájlként van megjelölve – a támadók ezt kijátszhatják, így az ártalmas kód végül root jogosultsággal fut.
Miért jelent ez veszélyt?
Fontos tisztázni: ez egy helyi jogosultságkiterjesztési sérülékenység (Local Privilege Escalation), tehát a támadónak már jelen kell lennie valamilyen formában a gépen – például egy másik rosszindulatú program révén vagy fizikailag hozzáférve a géphez. Távolról, pusztán IP-cím ismeretében nem lehet kihasználni a hibát. Ugyanakkor ha egy kártékony alkalmazás már bejutott a rendszerbe, teljes hatalmat szerezhet.
A probléma elhárításához jelentős fejlesztésre lesz szükség: a SecureLayer7 javaslata szerint a legkritikusabb, azonnali megoldás a hívó fél hitelesítésének bevezetése lenne az érintett eseménykezelő modulban.
Mit tehetsz, amíg érkezik a javítás?
Az IPVanish közleménye szerint csak azok a felhasználók érintettek, akik macOS-en az OpenVPN protokollt használják. Az új telepítéseknél már a WireGuard protokoll az alapértelmezett, így akik kizárólag a gyári beállításokat használják, nem kell aggódniuk.
Vagyis, ha használtad már az OpenVPN-t, érdemes az alkalmazásban a Beállítások – Protokoll – OpenVPN menüpont alatt az „OpenVPN Driver” résznél az „Eltávolítás” gombra kattintani. Ezt követően megelőzhető a sebezhetőség kritikus kihasználása addig is, amíg a hivatalos frissítés meg nem érkezik.
Az IPVanish azt ígéri, minden macOS-felhasználó automatikusan értesítést kap majd a frissítésről, amint elérhető lesz a javított verzió. Addig érdemes óvatosnak lenni, és kerülni a gyanús alkalmazások telepítését a rendszerre.
